Vivaldi 将替代 Firefox 成为 Manjaro Cinnamon 的默认浏览器

Manjaro 负责人说：“Vivaldi 的浏览速度惊人，可定制性极强，尤其是它重视用户隐私，对我来说，它与 Manjaro Linux 完美匹配……Manjaro 总是提供最新版本的Vivaldi，为了给 Vivaldi 更多应有的关注，我决定把它作为我们流行的 Cinnamon 社区版的默认浏览器”。

传统上，Linux 发行版一般都会将 FireFox 作为其默认浏览器。Manjaro 的这一举措，或许代表 Linux 社区对 FireFox 失望了。

俄罗斯 Yandex 公司称其击退了历史上最大的 DDoS 攻击

俄罗斯科技巨头 Yandex 公司周四表示，在 8 月和 9 月对该公司服务器进行的网络攻击是互联网历史上已知最大的 DDoS 攻击。这次攻击始于 8 月，并在 9 月 5 日达到创纪录的水平。Yandex 在一份声明中说。“我们的专家设法击退了近 2200 万次请求/秒（RPS）的创纪录攻击。这是互联网历史上最大的已知攻击。”之前的记录是由 Cloudflare 保持的，该公司上个月表示，它已经缓解了 1720 万 RPS 的 DDoS 攻击。

DDoS 攻击屡创新高，虽然看起来并没有什么好的办法，但是据研究 DDoS 流量来源其实主要来源于几个特定的接入商。

91% 的 IT 团队感到“被迫”让渡安全以换取业务运营

周四，惠普发布的一项新的研究 表明，对于 IT 团队来说，91% 的受访者表示，在疫情大流行期间，由于业务连续性的需要，他们感到“有压力”，不得不让渡安全；80% 因为安全政策而遭遇在家上班的员工的反弹；76% 表示，安全问题已经退居次要地位。而对于在家上班的职员来说，48% 的受访者认为安全措施浪费时间。

当涉及到远程工作时，安全往往是优先列表中的最后一件事。

Docker 桌面管理工具对大公司不再免费

Docker 平台有许多组件，大部分都是开源的，但 Docker 桌面管理工具不是，它用于管理各种 Docker 组件和功能。Docker 公司将限制只让个人或小型企业可以免费使用其 Docker 桌面管理工具。现在要求拥有 250 名或以上员工，或年收入超过 1000 万美元的企业，必须付费使用它：分别是 5 美元/月的专业版和 7 美元/月的团队版订阅，以及新的 21 美元/月的商业版订阅。

这是 Docker 公司也在寻求可持续发展的道路。

因错误包含一些非自由的代码，GNU Linux-libre 重新发布

基于最近发布的 Linux 5.14 上游内核，今天 GNU Linux-libre 5.14-gnu 内核发布了。GNU Linux-libre 内核剥离了非自由的二进制固件、微代码二进制大对象和其他非自由软件组件。但是事实证明这个“100% 自由软件”的内核中错误地留下了一些非自由的内核代码，所以之前的 GNU Linux-libre 版本也不得不重新发布。

虽然剥离一些非自由组件会损失一些支持，但是总该有一个这样偏执于自由的内核。

网络攻击者现在正悄悄地卖掉受害者的网络带宽

周二思科的研究人员说，“代理软件”正被网络犯罪分子用于非法目的，成为犯罪分子从受害者身上获取收入的又一途径。这种所谓的“代理软件”，也被称为互联网共享应用程序，允许用户为其他设备分享部分互联网连接带宽。这是一种合法服务，可以在每次有别的用户连接到它时就可以为他们提供收入。攻击者在受害者的电脑上安装这种软件，并在攻击者的账户下注册该软件，因此任何收入都会被发送到攻击者手中。

真是无孔不入啊。

Torvalds 认为 GPLv2 和公司的参与对 Linux 非常重要

Linux 创始人 Linus Torvalds 在最近的一篇采访中表示，他认为在 1992 年初 Linux 转向使用 GPLv2 许可证特别重要。他回忆说：“这不是最初的许可证，但我相信它是 Linux 变得如此广泛的一个重要原因。”此外，他还认为，“公司的参与是非常重要的，这可能听起来很明显，以至于老套和愚蠢，但开源社区的一些角落对任何商业参与都是相当消极的。”从最早期开始，Linux 就经历了来自大公司的“相当持续的”兴趣。

虽然 Linux 的成功有一定的时代幸运，但是至少可以说明 Linux 作对了几件事。

谷歌使用 AI 生成高保真图像

谷歌大脑的研究人员分享了他们在图像超级分辨率方面取得的新突破。通过其 SR3 和 CDM 方法，可以对输入的低分辨率图像生成高分辨率的图像，在提升人像和自然图像上效果良好。他们已经将该模型的性能推到了超分辨率和类条件的 ImageNet 生成基准的最先进水平。

以后可以从低画质照片和视频转成高画质了~

研究发现 40% 的 GitHub Copilot 建议中存在安全漏洞

研究人员为 Copilot 创建了 89 种不同的场景来推荐代码，产生了 1600 多个程序。研究人员在审查这些程序时发现，几乎 40% 的程序都有这样或那样的漏洞。由于 Copilot 借鉴了 GitHub 存储库中公开可用的代码，研究人员推测，生成的脆弱代码可能只是系统模仿存储库中的错误代码行为的结果。

所以，这就和差生抄作业一样，它也不知道抄的作业是不是对的。

有将近 1400 万基于 Linux 的系统直接暴露在互联网上，这使得它们成为有利可图的现实世界攻击目标，这些攻击可能会导致它们被部署恶意的 Webshell、加密货币矿工、勒索软件和其他木马。

网络安全公司 趋势科技 发布了一份对 Linux 威胁形势的深入研究，其根据从蜜罐、传感器和匿名遥测中收集的数据，详细介绍了 2021 年上半年影响 Linux 操作系统的首要威胁和漏洞。

该公司检测到近 1500 万个针对基于 Linux 的云环境的恶意软件事件，发现加密货币矿工和勒索软件占所有恶意软件的 54%，Webshell 占 29%。

此外，通过剖析同一时期 10 万台 Linux 主机报告的 5000 多万例事件，研究人员发现了 15 个顶级安全缺陷，这些缺陷已经在野外被广泛利用或有了概念证明（PoC）：

• CVE-2017-5638（CVSS 评分：10.0） - Apache Struts 2 远程代码执行（RCE）漏洞
• CVE-2017-9805（CVSS 评分：8.1） - Apache Struts 2 REST 插件 XStream RCE 漏洞
• CVE-2018-7600（CVSS 评分：9.8） - Drupal Core RCE 漏洞
• CVE-2020-14750（CVSS 评分：9.8） - Oracle WebLogic Server RCE 漏洞
• CVE-2020-25213（CVSS 评分：10.0） - WordPress 文件管理器（wp-file-manager）插件 RCE 漏洞
• CVE-2020-17496（CVSS score: 9.8） - vBulletin subwidgetConfig 未认证 RCE 漏洞
• CVE-2020-11651（CVSS 评分: 9.8） - SaltStack Salt 授权弱点漏洞
• CVE-2017-12611（CVSS 评分: 9.8） - Apache Struts OGNL 表达式 RCE 漏洞
• CVE-2017-7657（CVSS score: 9.8） - Eclipse Jetty 块长度解析的整数溢出漏洞
• CVE-2021-29441（CVSS 评分：9.8） - 阿里巴巴 Nacos AuthFilter 认证绕过漏洞
• CVE-2020-14179（CVSS 评分：5.3） - Atlassian Jira 信息泄露漏洞
• CVE-2013-4547（CVSS 评分：8.0） - Nginx 制作的 URI 字符串处理访问限制绕过漏洞
• CVE-2019-0230（CVSS 评分：9.8） - Apache Struts 2 RCE 漏洞
• CVE-2018-11776（CVSS 评分：8.1） - Apache Struts OGNL 表达式RCE 漏洞
• CVE-2020-7961（CVSS 评分：9.8） - Liferay Portal 不受信任的反序列化漏洞

更令人不安的是，官方 Docker Hub 资源库中最常用的 15 个 Docker 镜像被发现存在数百个漏洞，这涉及 python、node、wordpress、golang、nginx、postgres、influxdb、httpd、mysql、debian、memcached、redis、mongo、centos 和 rabbitmq。这表明需要在开发管道的每个阶段保护容器免受广泛的潜在威胁。

研究人员总结说：“用户和组织应始终应用安全最佳实践，其中包括利用安全设计方法，部署多层虚拟补丁或漏洞屏蔽，采用最小特权原则，并坚持共同责任模式。”

via: https://thehackernews.com/2021/08/top-15-vulnerabilities-attackers.html

作者：Ravie Lakshmanan 选题：wxy 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

VISA 花 15 万美元购买了第一个 CryptoPunk NFT

CryptoPunks 被认为是原始的 NFT，在 2017 年推出。尚出现在现在的 NFT 标准 ERC721 之前。这些是一万张怪人的像素艺术图片的集合。Vist 的加密货币主管说，“我们觉得 CryptoPunks 将是对我们的文物收藏的一个很好的补充，可以描绘和庆祝商业的过去、现在和未来。” 他们认为 CryptoPunks “开创了 NFT 技术和 NFT 商业浪潮”，所以想要拥有一个。CryptoPunks 在刚刚过去的 24 小时交易量突破 1 亿美元。

要是从把 NFT 当成文物来收藏这个角度看，就感觉可以理解了。

数十万基于 Realtek 的设备受到物联网僵尸网络的攻击

至少有 65 家供应商的数十万台路由器等设备中使用的 Realtek 芯片组存在一个危险的漏洞，目前正受到一个 DDoS 僵尸网络团伙的攻击。这些攻击从上周开始，在安全公司发布了有关该漏洞的细节后仅三天就开始了。这些芯片由 Realtek 制造，其他公司将其作为自己设备的基本系统芯片（SoC）。

用 Realtek 芯片的设备太多了，尤其是各种路由器。看看你的路由器中招了没。

在苹果 M1 上运行的 GNOME 桌面

Asahi Linux 团队的一名成员展示了在苹果 M1 芯片上运行的 GNOME 桌面。该团队说，“不是很好，但可以使用”。该团队自 1 月份以来一直致力于苹果 M1 GPU 的逆向工程，其目标是“在苹果 M1 Mac 上实现完美的 Linux 体验”。根据截图上的终端显示，它正在运行 5.14 Linux 内核的预发布版、Debian Linux 和 GNOME 3.38.4。但是该团队说，“它不是 GPU 加速的。”新的演示是今年 1 月份 Corellium 早期实验的一个相当大的进步，采用了“双缓冲”机制以减少撕裂现象。

距离成功又近了一步，Linus 快能用上啦。

非 UNIX 开源操作系统 Haiku 诞生二十周年

BeOS 操作系统在 2001 年被 Palm 收购后停止开发。随后人们开始讨论创建一个开源的 BeOS 操作系统 OpenBeOS，并在 8 个月后释出了首个版本。2004 年改名为 Haiku。此后 Haiku 项目先后释出了 4 个 RC alpha 版本和 3 个 RC beta 版本，最新的 R1/beta3 是刚刚在 2021 年 7 月 25 日发布的。二十年后的今天 Haiku 仍然是少数可用的非 UNIX 开源操作系统之一。

虽然小众，但仍然很有意义。

Cloudflare 扛下了创纪录的 DDoS 攻击：每秒 1720 万个请求

上个月，Cloudflare 发现了针对金融行业客户的大规模 DDoS 攻击。攻击者利用了由 20000 多台受感染设备组成的僵尸网络，以通过向目标网络发送巨量 HTTP 请求的方式，来耗尽其服务器资源。在本次攻击的高峰，达到了每秒 1720 万次的请求，规模是以往针对公共领域发起的 DDoS 攻击的三倍。攻击持续了数小时，Cloudflare 扛下了超过 3.3 亿的垃圾 HTTP 请求。

这样夸张的攻击记录只能被一次次打破。

2021 年上半年发现了 600 多个工业控制系统漏洞

根据 Claroty 的 ICS 风险和漏洞报告，2021 年上半年发现了 600 多个工业控制系统漏洞，涉及到 76 家供应商，相比去年同期增加了 41%。其中和西门子（146 个）施耐德电气（65 个）是受到影响最大的制造商。在所有的漏洞中，81% 是由非厂商来源发现的。大多数漏洞被评为严重或高度危险，对工业控制系统构成严重威胁。要利用这些漏洞，90% 漏洞不需要专门的知识，74% 的漏洞不需要任何权限，66% 的漏洞不需要用户交互，61% 的漏洞可以从外部远程利用。

工业控制系统的安全风险迫在眉睫。